Come noto l’accountability è uno dei principi generali su cui si fonda il Regolamento UE 2016/679 (GDPR) che all’art. 24 dispone che il responsabile del trattamento è tenuto ad adottare politiche e attuare misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati personali sia avvenuto in modo conforme al Regolamento stesso.
L’accountability, come ormai ampiamente condiviso, porta a definire, sulla base della valutazione dei rischi, le misure che servono alla mitigazione degli stessi, agendo sulle leve di gravità, probabilità e rilevabilità. Le misure sono definite dal Titolare del trattamento sulla base della valutazione dei rischi, che può essere condotta secondo approcci diversi. Il risultato della valutazione è l’IRP - indice di priorità del rischio/risk priority number, che deve essere confrontato con il livello di priorità stabilito sulla base del superamento di una determinata soglia di intervento.
Nel complesso reticolo di figure ed autorizzazioni che un buon assetto di protezione dati prevede, un posto importante va sicuramente riservato alla figura dell’Amministratore di Sistema. Tale figura, già ben inquadrata da un Provvedimento dell’Autorità Garante del lontano 27 novembre 2008, necessità indubbiamente di rinnovata interpretazione visto l’enorme aumento di importanza della funzione IT all’interno delle aziende, ma anche alla luce della necessaria integrazione con il sopraggiunto Gdpr.
A oltre due anni dall'operatività del Gdpr, la sua applicazione si sta consolidando in ogni processo aziendale. Sarà un caso, ma a seguito del lock down causato dal coronavirus, tante entità hanno trovato il tempo per affrontare questa tematica vista ancora come una lunga serie di documenti da redigere e di adempimenti opprimenti e per farlo molto spesso si sono affidate a un consulente che aveva la stessa opinione e che con molta diligenza ha predisposto con cura e attenzione tutta la documentazione prevista, senza fare errori, con un lavoro attento e finalizzato a far riposare tranquillamente il suo cliente.
A quattro anni dall’entrata in vigore del Regolamento europeo 2016/679, molte organizzazioni si trovano in una fase del loro percorso di adeguamento in cui avvertono la necessità di dotarsi di un modello organizzativo che consenta di verificare e documentare nel tempo la compliance agli obblighi normativi nonché agli standard di sicurezza riconosciuti.
Nella mia ormai lunga esperienza di consulente strategico in materia di privacy e protezione dati, sono purtroppo molte le aziende che ho visto sbandierare virtù che in realtà non hanno. Fin dal primo incontro presso la sede della società, o a volte perfino alla prima occhiata al sito web aziendale, spesso sono evidenti delle desolanti carenze che rivelano quanto sia realmente scarsa la sensibilità ai temi di cui mi chiedono di occuparmi.
Nell'ambito di un trattamento di dati personali ci troviamo di fronte a quella che possiamo definire una "filiera dei partner" ogni qual volta le varie attività di trattamento di dati vengono effettuate da vari "soggetti privacy".Questa filiera, costituita dall'insieme di soggetti che si relazionano tra loro e che compiono varie attività nell'ambito di un trattamento di dati personali, può essere semplice o anche complessa e stratificata, a seconda di quante titolarità privacy si interpongono nella gestione di un determinato trattamento di dati e a seconda dei particolari rapporti tra essi.
Il modello dell’accountability del Gdpr richiede un sistema di assicurazione generale della responsabilità civile. Lo stato delle cose ci fa dire che, ormai, bisogna essere pronti a discutere della necessità/opportunità di un sistema di assicurazione obbligatoria della responsabilità civile per danni derivanti dal data processing. Così come bisogna essere pronti a meccanismi di indennizzo forfettizzato e a procedure apposite di media-conciliazione delle controversie in materia di sinistri da circolazione dei dati.
Le linee guida n. 3/2019 sul trattamento dei dati personali attraverso dispositivi video, adottate il 29 gennaio 2020 dal Comitato Europeo per la Protezione dei Dati (EDPB), al paragrafo 4, disciplinano la trasmissione di filmati a terzi in generale, prevedendo che la comunicazione individuale di immagini video a terzi, per scopi diversi da quelli per i quali i dati sono stati raccolti, è possibile a norma dell'art. 6, par. 4, del GDPR (Reg. UE 2016/679).
La qualificazione dei soggetti esterni destinatari di dati personali e la corretta individuazione del ruolo soggettivo loro attribuito è un processo complesso, che implica verifiche mirate e che continua a presentare non poche criticità. Nello svolgimento delle attività di trattamento che gli sono proprie, infatti, il titolare del trattamento si trova a dover comunicare i dati personali dell’interessato a diverse categorie di soggetti, o a doverli condividere con gli stessi:
